Innovation Law Insight

Legal Break

Come costruire un AI Commitee ai sensi dell’AI Act dell’UE

In base all’AI Act dell’Unione Europea, ogni azienda che utilizza l’intelligenza artificiale dovrà dotarsi di un adeguato framework di governance – al cui centro si trova l'AI Committee.

In questo episodio di 60 secondi di Legal Break, Giulio Coraggio spiega:

• Chi dovrebbe far parte del tuo Comitato AI (non solo IT o legale!)
• Perché alcune aziende stanno nominando un Chief AI Officer
• Come attribuire al comitato una reale autorità – dalla revisione dei progetti di AI alla rendicontazione diretta al top management

Puoi guardarlo QUI

 

Data Protection and Cybersecurity 

La Commissione Europea intende codificare il legittimo interesse come base giuridica per l’addestramento dell’IA: una svolta per il GDPR e per l’innovazione

La proposta della Commissione Europea di codificare il legittimo interesse come base giuridica per l’addestramento dei sistemi di intelligenza artificiale rappresenta la riforma più significativa del GDPR dalla sua adozione.
Riconoscendo esplicitamente il legittimo interesse come fondamento per l’addestramento dell’IA, la Commissione mira a conciliare la protezione dei dati con le esigenze concrete dell’intelligenza artificiale moderna.

Se confermata il 19 novembre 2025 nell’ambito del pacchetto UE “Digital Omnibus”, questa modifica andrebbe oltre le semplici interpretazioni, offrendo certezza giuridica su una questione che ha diviso per anni i regolatori europei:
gli sviluppatori di IA possono legittimamente addestrare i propri modelli utilizzando dati personali ai sensi del GDPR?

Dall’incertezza giuridica a un quadro normativo chiaro

Finora, l’utilizzo del legittimo interesse come base giuridica per l’addestramento dell’IA è rimasto una zona grigia. Alcune autorità nazionali lo hanno ammesso in presenza di rigide condizioni, mentre altre lo hanno escluso del tutto.
Il Comitato Europeo per la Protezione dei Dati (EDPB), nel suo Parere 28/2024 sull’addestramento dei modelli di IA, ha adottato una posizione restrittiva, affermando che le aziende devono effettuare accurati test di bilanciamento e non possono presumere automaticamente l’applicabilità del legittimo interesse.

L’iniziativa della Commissione segna il passaggio dall’incertezza alla codificazione.
Invece di basarsi su interpretazioni nazionali divergenti, la riforma ancorerebbe l’addestramento dell’IA direttamente nel diritto dell’Unione, introducendo una nuova disposizione nel GDPR – in modo analogo all’eccezione del “soft spam” prevista dalla direttiva ePrivacy.

Questo approccio armonizzerebbe le regole tra gli Stati membri, offrendo un quadro chiaro, coerente e prevedibile per lo sviluppo dell’IA in Europa.

Implicazioni giuridiche della codificazione del legittimo interesse per l’addestramento dell’IA

1. Maggiore certezza giuridica per gli sviluppatori di IA

L’inclusione esplicita del legittimo interesse come base giuridica per l’addestramento fornirebbe alle imprese un fondamento stabile per il trattamento dei dati personali ai fini dell’addestramento dei modelli, in particolare quando si utilizzano informazioni pubblicamente accessibili.
Ciò porrebbe fine al mosaico di interpretazioni nazionali che finora ha generato rischi di conformità e ostacolato l’innovazione.

2. Armonizzazione e coerenza

La codificazione del legittimo interesse nel GDPR garantirebbe un’applicazione uniforme in tutti gli Stati membri. Questa coerenza semplificherebbe la compliance per le organizzazioni multinazionali e ridurrebbe il rischio di decisioni regolatorie contrastanti.

3. Tutela delle categorie particolari di dati

La riforma non aprirebbe la strada a un trattamento illimitato. I dati personali sensibili – come quelli relativi alla salute, all’origine etnica, alla religione o all’orientamento sessuale – resterebbero tutelati dalle garanzie dell’articolo 9 del GDPR.
Solo i dati personali “ordinari” potrebbero rientrare nell’ambito del legittimo interesse, a condizione che i titolari effettuino test di bilanciamento e adottino misure tecniche come minimizzazione e pseudonimizzazione.

4. Impatto sulla trasparenza e sui diritti degli interessati

Gli sviluppatori di IA che si basano sul legittimo interesse dovranno comunque rispettare gli obblighi di trasparenza previsti dal GDPR.
Gli individui dovranno essere chiaramente informati dell’utilizzo dei propri dati per l’addestramento dei modelli di IA e continueranno a mantenere i propri diritti di accesso, opposizione e cancellazione.

Una risposta pragmatica alla cautela dell’EDPB

Nel suo parere del 2024, l’EDPB aveva evidenziato serie preoccupazioni in materia di privacy, in particolare riguardo alla raccolta massiva di dati (“data scraping”), al riutilizzo degli stessi e alla scarsa consapevolezza degli utenti.
Aveva sostenuto che il legittimo interesse non potesse giustificare una raccolta indiscriminata di dati personali.

Come analizzato nel mio precedente articolo “Parere EDPB sull’addestramento dei modelli di IA: come garantire la conformità al GDPR?”, la posizione prudente dell’EDPB era comprensibile, ma ha di fatto generato una paralisi regolatoria.
La proposta della Commissione mira a ristabilire un equilibrio, riconoscendo la necessità dei dati per lo sviluppo dell’IA, pur mantenendo solidi meccanismi di tutela.

Questa iniziativa riflette un cambio di paradigma verso il pragmatismo: l’Europa sta riconoscendo che innovazione e protezione dei dati non sono concetti incompatibili.

Bilanciare innovazione e diritti fondamentali

La sfida ora consiste nell’assicurare che l’utilizzo del legittimo interesse come base giuridica per l’addestramento dell’IA non comprometta i diritti fondamentali delle persone.
Anche con una base legale codificata, le aziende dovranno continuare a garantire accountability attraverso:

• l’applicazione dei principi di privacy by design e by default;
• informative chiare e accessibili per gli interessati;
• il divieto di trattare categorie particolari di dati senza consenso esplicito.

Per quanto riguarda la valutazione del legittimo interesse (LIA), essa potrebbe non essere necessaria se il relativo interesse è espressamente previsto dalla legge. Tuttavia, le aziende dovranno dimostrare che il proprio addestramento rientra nel campo di applicazione della disposizione pertinente.

La codificazione non esonererà le imprese dagli obblighi di conformità: ne ridefinirà i confini.
La vera sfida sarà capire se autorità e organizzazioni sapranno trovare un equilibrio che sostenga l’innovazione senza sacrificare le libertà individuali.

Allineare il GDPR con l’AI Act

L’AI Act europeo stabilisce obblighi basati sul rischio, ma non definisce la base giuridica per il trattamento dei dati durante l’addestramento dei modelli.
La modifica proposta dalla Commissione colmerebbe questa lacuna, creando un ponte coerente tra protezione dei dati e governance dell’intelligenza artificiale.

Se attuata efficacemente, questa riforma potrebbe trasformare l’Europa in un punto di riferimento globale per una regolamentazione dell’IA affidabile, coniugando certezza giuridica e tutela dei diritti.
Il successo, tuttavia, dipenderà dall’ampiezza della formulazione finale:
se troppo estesa, rischierebbe di indebolire la protezione dei dati;
se troppo restrittiva, potrebbe non fornire la chiarezza di cui le imprese hanno urgente bisogno.

Un passo decisivo per il futuro digitale dell’Europa

La codificazione del legittimo interesse come base giuridica per l’addestramento dell’IA potrebbe ridefinire il modo in cui l’Europa affronta la relazione tra privacy e sviluppo tecnologico.
Si tratta di un’evoluzione strategica – non di un arretramento – rispetto allo spirito originario del GDPR.

Incorporando questo principio direttamente nel regolamento, l’Unione Europea invia un messaggio chiaro:
l’Europa vuole rimanere leader globale nell’innovazione responsabile dell’intelligenza artificiale.

Resta da vedere se questa mossa riuscirà a soddisfare sia i difensori della privacy sia gli operatori economici.
Ciò che è certo è che segna una svolta nel dialogo tra protezione dei dati e progresso digitale, destinata a plasmare il panorama europeo dell’IA per il prossimo decennio.

Autore: Giulio Coraggio

Pacchetto Digitale per la Semplificazione dell’UE: Snellire le regole su GDPR, IA e dati

Il Pacchetto Digitale per la Semplificazione, proposto dalla Commissione Europea, aggiorna le principali normative digitali dell’UE –  tra cui il GDPR, l’AI Act, il Data Act, la Direttiva NIS2 e la Direttiva ePrivacy – con l’obiettivo di modernizzare e semplificare l’intero quadro regolatorio digitale europeo.

Conosciuto anche come Digital Omnibus, questo pacchetto mira a semplificare la conformità, eliminare sovrapposizioni normative e ridurre gli oneri amministrativi, preservando al contempo gli elevati standard europei di protezione dei dati e fiducia digitale.

Attraverso la razionalizzazione delle norme obsolete e l’armonizzazione degli obblighi giuridici, il Pacchetto Digitale per la Semplificazione intende creare un ambiente digitale più efficiente e favorevole all’innovazione, a beneficio sia delle imprese sia delle autorità di controllo.

Un’iniziativa politica per un’“Europa più semplice e più veloce”

Il Pacchetto Digitale per la Semplificazione si inserisce nell’agenda politica più ampia della Commissione Europea, intitolata “A Simpler and Faster Europe” (“Un’Europa più semplice e più rapida”).

L’iniziativa trae origine dai rapporti Draghi e Letta sulla competitività europea, che hanno sottolineato come la stratificazione eccessiva delle regole possa compromettere innovazione e crescita economica.

In risposta alle ripetute conclusioni del Consiglio nel 2025, la Commissione si è impegnata a razionalizzare l’acquis digitale dell’UE, fondendo o abrogando testi ridondanti e chiarendo l’interazione tra le normative digitali esistenti.
Il Digital Omnibus rappresenta il primo risultato concreto di questo sforzo di semplificazione.

Cosa prevede il Pacchetto Digitale per la Semplificazione

Secondo una versione non ufficiale del documento trapelata dalla Commissione Europea, la proposta introduce un’unica regolamentazione omnibus, che consolida diversi strumenti normativi di rilievo.

Modifica:

• GDPR (Regolamento 2016/679)
• AI Act (Regolamento 2024/1689)
• Data Act (Regolamento 2023/2854)
• Direttiva NIS2 (Direttiva 2022/2555)
• Direttiva ePrivacy (Direttiva 2002/58/CE)

Abroga:

• Regolamento Platform-to-Business (P2B)
• Data Governance Act (DGA)
• Regolamento sul libero flusso dei dati non personali
• Direttiva Open Data

Unificando questi atti in una struttura normativa integrata, il Pacchetto Digitale per la Semplificazione elimina le incongruenze, semplifica gli obblighi di rendicontazione e armonizza le definizioni in tutto il corpus legislativo digitale europeo.

I tre pilastri della semplificazione

Il Pacchetto Digitale per la Semplificazione si fonda su tre pilastri strategici:

1. Consolidamento del quadro normativo sui dati
2. Sistema unico di segnalazione degli incidenti
3. Allineamento tra le regole su IA e protezione dei dati

1. Snellimento del quadro normativo sui dati

La proposta fonde il Data Governance Act, la Direttiva Open Data e il Regolamento sul libero flusso dei dati non personali all’interno del Data Act, creando un unico punto di riferimento per la condivisione e il riutilizzo dei dati.

Le principali novità includono:

• Trasformazione del sistema di registrazione degli intermediari dei dati in un framework fiduciario volontario all’interno del Data Act;
• Consolidamento delle regole su data altruism e riutilizzo dei dati del settore pubblico;
• Chiarimento delle disposizioni su interoperabilità e cambio di fornitore cloud (cloud switching).

Questa semplificazione dovrebbe ridurre i costi amministrativi e migliorare la prevedibilità giuridica per le imprese che operano con dati transfrontalieri.

2. Sistema unico per la segnalazione di incidenti e violazioni

Una delle innovazioni più tangibili del Pacchetto è la creazione di una piattaforma unica a livello UE per la notifica di incidenti e violazioni dei dati, gestita da ENISA.

Questo meccanismo “report once, share with all” consentirà alle aziende di adempiere simultaneamente agli obblighi previsti da GDPR, NIS2, DORA e Regolamento sull’identità digitale europea.

Ciò ridurrà drasticamente le duplicazioni nei report, faciliterà la coordinazione tra autorità competenti e aumenterà l’efficienza, mantenendo inalterate le competenze legali esistenti.

3. Allineare la conformità dell’IA con la protezione dei dati

Per conciliare AI Act e GDPR, la proposta introduce chiarimenti su:

• Concetti di dato personale e pseudonimizzazione;
• Uso legittimo dei dati personali per l’addestramento dell’IA, nel rispetto di adeguate garanzie;
• Obblighi semplificati per i trattamenti di dati a basso rischio.

Queste precisazioni rispondono a preoccupazioni di lunga data dell’industria in merito all’incertezza giuridica sull’uso dei dataset per l’addestramento dei modelli, e mirano ad assicurare un equilibrio tra innovazione e tutela della privacy.

La fine del Regolamento Platform-to-Business

Il Regolamento P2B verrà abrogato, poiché i suoi obiettivi risultano ormai pienamente assorbiti dal Digital Markets Act (DMA) e dal Digital Services Act (DSA).
Questa abrogazione ridurrà le duplicazioni e riunirà tutte le regole sulla governance delle piattaforme digitali in un unico quadro politico coerente, migliorandone la consistenza e l’attuazione.

Impatto economico: meno burocrazia, più efficienza

Il Pacchetto Digitale per la Semplificazione è anche una riforma economica.
Secondo le stime della Commissione, genererà:

• 1 miliardo di euro di risparmi annuali;
• 1 miliardo di euro di risparmi una tantum;
• 4 miliardi di euro di risparmi complessivi entro il 2029.

Le PMI e le mid-cap europee saranno le principali beneficiarie, grazie alla riduzione degli obblighi di conformità e alla semplificazione dei meccanismi di reporting, rafforzando la competitività digitale europea.

Base giuridica e diritti fondamentali

Fondato sugli articoli 114 e 16 del TFUE, il Pacchetto Digitale per la Semplificazione tutela sia l’integrazione del mercato sia la protezione della privacy.

La Commissione sottolinea che l’iniziativa non indebolisce né il GDPR né la Carta dei Diritti Fondamentali dell’UE, ma mira piuttosto a garantire un’applicazione più chiara e coerente degli standard esistenti in tutte le normative digitali.

Un nuovo capitolo: verso un “Digital Acquis 2.0”

Il Pacchetto Digitale per la Semplificazione segna una transizione fondamentale dall’espansione normativa alla consolidazione.

Esso getta le basi per un Digital Acquis 2.0 – un quadro giuridico unificato, trasparente e orientato all’innovazione, che rafforza la posizione dell’Europa come leader globale nella governance digitale.

Se adottato, il Pacchetto Digitale per la Semplificazione potrebbe diventare un modello per la modernizzazione legislativa europea, dimostrando come l’UE possa semplificare regole complesse senza compromettere i propri valori fondamentali di privacy, sicurezza e responsabilità.

Autore: Giulio Coraggio

FIDA: il perimetro europeo dell’open finance

Con la proposta di Regolamento sul Financial Data Access ("FIDA"), presentata dalla Commissione europea il 28 giugno 2023, l’Unione europea si prepara a ridefinire la gestione e la condivisione dei dati finanziari, completando il percorso avviato con la PSD2 e aprendo la strada a un ecosistema di open finance integrato, sicuro e competitivo.

FIDA mira a creare un mercato unico dei dati finanziari fondato su standard comuni di interoperabilità, sicurezza e trasparenza, consentendo a consumatori e imprese di controllare pienamente l’accesso e l’utilizzo delle proprie informazioni.

Il regolamento rappresenta il pilastro informativo del Digital Finance Package insieme alla riforma dei Servizi di Pagamento ("PSD3"), al nuovo Regolamento sui servizi di pagamento ("PSR") e al Regolamento sulla Resilienza Operativa Digitale ("DORA").

In questo quadro, FIDA introduce un principio chiave: il dato finanziario come infrastruttura strategica europea. Non più un patrimonio statico custodito dalle istituzioni, ma una risorsa dinamica a disposizione del cliente, liberata attraverso un ecosistema regolato di scambio, basato su consenso informato, sicurezza tecnica e accountability.

FIDA, dunque, segna il passaggio dall’open banking all’open finance, ma anche, più profondamente, da un sistema centrato sulla banca a uno fondato sull’autodeterminazione digitale, e finanziaria, dell'utente.

1. Dal modello PSD2 al mercato unico dei dati finanziari

FIDA nasce come naturale evoluzione della PSD2, ma ne amplia radicalmente la portata. Mentre la direttiva del 2015 aveva introdotto il principio dell’open banking, imponendo alle banche di aprire l’accesso ai conti di pagamento tramite interfacce API a beneficio di terze parti autorizzate, il nuovo regolamento estende il modello a tutti i dati finanziari generati nel ciclo di vita economico del cliente.

Il perimetro diventa così molto più ampio: non solo conti correnti e carte di pagamento, ma anche mutui, prestiti, prodotti di investimento, polizze assicurative, piani pensionistici e servizi di risparmio gestito.

L’obiettivo è permettere all’utente – persona fisica o impresa – di decentralizzare e condividere in modo sicuro e trasparente tutte le informazioni detenute da diversi operatori, superando la frammentazione dei canali e dei formati.

Questa evoluzione segna un passaggio concettuale importante: il dato finanziario non è più una prerogativa dell’intermediario, ma un bene informativo di proprietà del cliente, accessibile e trasferibile secondo modalità standardizzate e sotto il suo controllo esclusivo.

Per rendere operativa questa visione, FIDA introduce due strumenti chiave:

• i Financial Information Service Providers ("FISP"), una nuova categoria di soggetti regolamentati incaricati di fornire servizi basati sui dati finanziari degli utenti;
• i Financial Data Permission Dashboards, interfacce digitali attraverso cui il cliente potrà visualizzare, concedere o revocare in tempo reale le autorizzazioni all’accesso dei propri dati.

Il meccanismo si fonda sul principio del consenso informato e granulare: nessun dato potrà essere condiviso senza una chiara e specifica autorizzazione da parte dell’interessato.

Questo modello, che si ispira all’articolo 20 del GDPR sul diritto alla portabilità, consente una vera autodeterminazione informativa, rafforzando il controllo dell’utente sulla circolazione dei propri dati.

Infine, il regolamento abbandona l’idea di accesso gratuito introdotta dalla PSD2 e introduce la nozione di compenso equo e proporzionato: i data holder potranno essere remunerati per i costi sostenuti nella predisposizione delle interfacce, nell’implementazione delle misure di sicurezza e nella gestione delle richieste.

In questo modo, FIDA trasforma l’obbligo di apertura in una partnership regolata tra istituzioni finanziarie e nuovi operatori digitali, con incentivi economici e standard tecnici comuni che rendono sostenibile l’ecosistema dell’open finance europeo.

2. Gli schemi di condivisione dei dati e la nuova infrastruttura dell'open finance

Il cuore operativo di FIDA risiede nell’obbligo, per tutti i soggetti che detengono o utilizzano dati finanziari, di aderire a schemi di condivisione (“Financial Data Sharing Schemes”) riconosciuti a livello europeo.

Si tratta di consorzi settoriali o organismi di cooperazione incaricati di definire regole comuni su standard tecnici, governance, sicurezza e modelli di remunerazione, garantendo un accesso uniforme, interoperabile e affidabile ai dati.

Ciascuno schema dovrà stabilire in particolare: (i) i formati comuni dei dati e le specifiche delle API, in modo da assicurare piena interoperabilità tra i diversi operatori; (ii) i protocolli di autenticazione e autorizzazione, basati su elevati standard di cybersecurity e conformi al Regolamento DORA; (iii) le regole di responsabilità contrattuale e di risoluzione delle controversie tra partecipanti; (iv) i criteri per la determinazione di un compenso equo e proporzionato ai data holder, evitando squilibri di mercato.

Solo gli scambi effettuati all’interno di tali schemi saranno considerati leciti.

L’adesione agli schemi diventerà dunque una condizione essenziale per poter operare nel mercato dell’open finance: nessun soggetto, né data holder né data user, potrà accedere o condividere dati al di fuori di un quadro di regole approvato e supervisionato dalle autorità europee competenti.

Questa architettura si ispira al modello di interoperabilità istituzionale già sperimentato nei pagamenti SEPA e, più di recente, nel quadro dell’European Single Access Point ("ESAP").

In prospettiva, i Financial Data Sharing Schemes costituiranno la spina dorsale del mercato unico dei dati finanziari, promuovendo un ambiente competitivo ma regolato, in cui la collaborazione tra operatori diventa la condizione stessa dell’innovazione.

3. I nuovi attori dell’ecosistema

FIDA ridefinisce profondamente la mappa dei soggetti coinvolti nella gestione e nello scambio dei dati finanziari, introducendo una nuova tripartizione funzionale basata su ruoli, responsabilità e obblighi di trasparenza.

a. I data holder sono gli enti che detengono dati finanziari generati o raccolti nell’ambito della prestazione di un servizio – incluse banche, istituti di pagamento, imprese di investimento, compagnie assicurative, società di gestione del risparmio, fondi pensione e intermediari creditizi. Essi sono tenuti a consentire l’accesso ai dati richiesti dagli utenti o dai soggetti da essi autorizzati, nel rispetto dei principi di non discriminazione, sicurezza e interoperabilità tecnica.

Il rifiuto di concedere l’accesso potrà essere giustificato solo per motivi di cybersecurity, prevenzione delle frodi o violazione del segreto professionale, in linea con il considerando 28 della proposta.

b. I data user sono le entità che richiedono l’accesso ai dati per fornire servizi innovativi al cliente: applicazioni di gestione patrimoniale, scoring creditizio, consulenza finanziaria automatizzata, soluzioni di investimento ESG, o piattaforme di analisi aggregata dei flussi aziendali.

Il loro operato si fonda sul principio del consenso informato e reversibile: il cliente può in qualsiasi momento limitare o revocare l’accesso ai dati attraverso il proprio Financial Data Permission Dashboard, con effetto immediato e senza penalità.

I data user dovranno inoltre rispettare gli obblighi di accountability e data minimisation previsti dal GDPR, garantendo che le informazioni siano utilizzate solo per le finalità dichiarate.

c. Al centro di questa dinamica si colloca una nuova figura regolamentata: i FISP. Si tratta di operatori specializzati che fungeranno da intermediari qualificati tra data holder e data user, fornendo servizi di raccolta, aggregazione, standardizzazione e analisi dei dati, nonché interfacce API certificate.

Per ottenere l’autorizzazione, i FISP dovranno rispettare stringenti requisiti di governance, solvibilità, sicurezza informatica e continuità operativa, in linea con gli articoli 62 e 68 del Regolamento DORA.

Inoltre, saranno soggetti alla vigilanza diretta dell’autorità competente nazionale e, nei casi di rilevanza transfrontaliera, alla supervisione congiunta delle autorità europee di settore.

Il modello delineato dal FIDA crea quindi un ecosistema multilivello, in cui il flusso dei dati non è più unidirezionale, ma regolato da meccanismi di consenso, auditabilità e tracciabilità. In questa prospettiva, i FISP assumono un ruolo strategico analogo a quello dei Payment Initiation Service Providers ("PISP") e Account Information Service Providers ("AISP") della PSD2, ma con un raggio d’azione più ampio e cross-settoriale, capace di connettere il mondo bancario, assicurativo e degli investimenti in un’unica infrastruttura di fiducia.

4. Sicurezza, consenso e protezione dei dati personali

La dimensione più delicata del FIDA riguarda il punto di contatto tra open finance e tutela dei dati personali. L’intero impianto del regolamento si fonda infatti su un equilibrio complesso tra trasparenza, controllo individuale e sicurezza cibernetica, nella consapevolezza che la fiducia degli utenti rappresenta la condizione necessaria per lo sviluppo del mercato unico dei dati finanziari.

Il consenso diventa il fulcro del sistema: deve essere esplicito, specifico, informato e revocabile in ogni momento, secondo i criteri stabiliti dagli articoli 4(11) e 7 del GDPR.

Sul piano della sicurezza, il FIDA impone agli operatori l’adozione di misure tecniche e organizzative conformi a DORA, imponendo requisiti stringenti di cyber resilience, business continuity e incident reporting.

Ogni accesso ai dati dovrà essere autenticato mediante meccanismi di strong customer authentication ("SCA"), e tutte le transazioni dovranno essere registrate in log cifrati, conservati per un periodo limitato e accessibili solo in caso di audit.

Il regolamento affronta anche il tema della combinazione dei dati provenienti da fonti diverse, imponendo un principio di limitazione funzionale: la correlazione tra dataset è ammessa solo se strettamente necessaria per la finalità autorizzata e non può comportare profilazioni ulteriori o valutazioni automatizzate non previste.

Ne deriva un allineamento diretto con gli articoli 5(1)(b), 6 e 22 del GDPR, che vietano decisioni basate unicamente su trattamenti automatizzati senza garanzie adeguate all’interessato.

Infine, FIDA introduce un obbligo specifico di data protection by design and by default per tutti i partecipanti agli schemi di condivisione.

I FISP, in particolare, dovranno integrare funzioni di cifratura, pseudonimizzazione e minimizzazione sin dalla fase di progettazione delle API, garantendo che nessun dato eccedente sia trattato o conservato.

5. Opportunità, sfide e prospettive di attuazione

Il FIDA si propone di estendere al mondo dell’intermediazione finanziaria, assicurativa e patrimoniale la stessa logica di interoperabilità che la PSD2 ha introdotto nei pagamenti.

In prospettiva, il regolamento rappresenta un cambio di paradigma: l’accesso ai dati non è più un vantaggio competitivo, ma una responsabilità condivisa fondata su fiducia, sicurezza e reciprocità.

Le opportunità sono evidenti.

• Per i consumatori, FIDA apre la strada a un mercato realmente integrato dei servizi finanziari, in cui i dati diventano la chiave per soluzioni personalizzate, portabilità dei rapporti contrattuali e maggiore concorrenza tra operatori.
• Per le imprese, la possibilità di aggregare informazioni da banche, assicurazioni e gestori patrimoniali consentirà di sviluppare nuovi modelli di analisi predittiva, scoring ESG e consulenza automatizzata.
• Per le autorità di vigilanza, infine, la standardizzazione dei flussi dati potrà rafforzare la supervisione basata sul rischio, riducendo gli oneri di compliance e migliorando la capacità di monitoraggio dei fenomeni sistemici.

Le sfide, tuttavia, restano significative.

• In primo luogo, l’attuazione effettiva dipenderà dalla capacità di armonizzare norme e infrastrutture nei diversi Stati membri, evitando il rischio di frammentazione tecnologica e regolatoria.
• In secondo luogo, il costo dell’adeguamento, min particolare per i soggetti di dimensioni minori, potrebbe rallentare l’adesione agli schemi di condivisione, vanificando l’obiettivo di inclusività del regolamento.
• Da ultimo, il bilanciamento tra innovazione e tutela della privacy continuerà a rappresentare una linea di tensione strutturale: ogni uso secondario dei dati dovrà essere rigorosamente giustificato, verificabile e proporzionato.

Il successo di FIDA dipenderà, in definitiva, dalla capacità dell’ecosistema finanziario europeo di tradurre la compliance in innovazione.

Non si tratta soltanto di garantire interoperabilità tecnica, ma di costruire un mercato dei dati finanziari fondato su fiducia, trasparenza e responsabilità condivisa.

In questo senso, il FIDA rappresenta la tappa più avanzata di un processo più ampio: la trasformazione del settore finanziario europeo in un’infrastruttura di data governance regolata, dove la competitività passa attraverso la conformità e la sovranità informativa diventa il vero motore dell’innovazione.

Autore: Giulio Napolitano

 

Gaming & Gambling

La nuova licenza italiana per il gioco online entra in vigore OGGI: cosa cambia per operatori, nuovi entranti e fornitori?

A partire da oggi, il nuovo regime di licenze per il gioco online in Italia è ufficialmente in vigore, segnando il cambiamento normativo più significativo nel settore del gaming online italiano da oltre un decennio.
Questa riforma non si limita a rinnovare il mercato: ne ridisegna l’intera struttura, innalza le aspettative di conformità e ridefinisce le modalità di accesso e competizione per operatori, nuovi entranti e fornitori all’interno dell’ambiente regolato italiano.

Si tratta di un punto di svolta: il modo in cui le aziende reagiranno nelle prossime settimane determinerà la loro posizione competitiva per i prossimi nove anni.

Un nuovo regime fondato su standard di ingresso più elevati

La nuova licenza italiana per il gioco online introduce una concessione unificata di nove anni che copre tutti i verticali del gioco a distanza.
ADM è passata da un sistema di gare frammentate a una struttura consolidata, pensata per migliorare la certezza giuridica, ridurre le incoerenze tecniche e favorire gli investimenti a lungo termine.

Caratteristiche principali:

• Canone di concessione pari a 7 milioni di euro (€4 milioni alla concessione + €3 milioni all’avvio operativo)
• Controlli tecnici, AML (antiriciclaggio) e organizzativi molto più rigorosi
• Riduzione del numero di concessionari, ora circa 46
• Maggiore controllo su modelli multi-brand e multi-skin
• Focus rafforzato su gioco responsabile e integrità delle piattaforme

Non si tratta di un semplice aggiornamento: oggi inizia una fase molto più selettiva e vigilata per il mercato del gioco online italiano.

Un mercato più selettivo: la concentrazione diventa una scelta strutturale

Con l’entrata in vigore del nuovo regime, gli effetti competitivi sono immediatamente visibili.
L’elevato costo della licenza, unito ai controlli più rigorosi di ADM, ha ridotto il numero di operatori autorizzati. Il settore entra così in una fase di consolidamento, in cui:

• Le economie di scala assumono un ruolo cruciale
• La maturità della compliance diventa un vantaggio competitivo
• La solidità operativa non è più un’opzione
• Solo gli operatori strutturalmente solidi potranno garantire una crescita sostenibile a lungo termine

Questo non è un mercato per “sperimentazioni” o investimenti parziali: ADM ha costruito un regime che premia l’impegno e la solidità nel lungo periodo.

Cosa cambia per i nuovi entranti

Per le società che valutano l’ingresso in Italia, il nuovo quadro normativo rappresenta al tempo stesso un’opportunità e una barriera significativa.

1. Soglie finanziarie e strutturali elevate

Il canone di 7 milioni di euro è solo l’inizio. I nuovi entranti devono dimostrare:

• Capacità tecnologica verificata
• Piattaforma resiliente e conforme ai requisiti di reporting in tempo reale di ADM
• Sistemi AML collaudati
• Controlli di business continuity e disaster recovery
• Un framework strutturato di gioco responsabile

ADM si aspetta che i nuovi entranti siano pienamente operativi prima del go-live, non dopo.

2. Requisiti più stringenti di pianificazione aziendale

I nuovi operatori devono adottare modelli di business in grado di sostenere:

• Maggiori obblighi di reporting e supervisione
• Dinamiche di concentrazione del mercato
• Obblighi di due diligence più severi sui fornitori

Entrare oggi nel mercato italiano richiede una strategia solida, non un approccio speculativo.

3. Un’opportunità a lungo termine

Il mercato italiano rimane uno dei più grandi e redditizi in Europa, ma il nuovo regime garantisce che solo gli operatori ben governati e ben capitalizzati possano partecipare.
Per chi soddisfa i requisiti, oggi segna l’inizio di un ciclo stabile e prevedibile di nove anni.

Cosa cambia per i fornitori di giochi e piattaforme

La riforma impatta direttamente non solo sugli operatori, ma su tutta la filiera: fornitori di giochi, piattaforme, motori di scommessa e provider tecnologici.

1. Certificazioni obbligatorie e controlli tecnici

I fornitori devono garantire che:

• Tutti i giochi rispettino i nuovi standard tecnici aggiornati
• Le piattaforme soddisfino i requisiti ADM su rilevazione delle frodi, tracciamento delle sessioni e trasparenza
• Le certificazioni RNG e RTP siano pienamente conformi alle nuove regole
• Le funzionalità di reporting supportino gli obblighi in tempo reale degli operatori

2. Due diligence più rigorosa da parte degli operatori

Con il nuovo regime, gli operatori devono esercitare una supervisione rafforzata sui propri fornitori, che comprende:

• Verifiche approfondite su AML e integrità
• Valutazioni di rischio dei fornitori
• Controlli contrattuali e diritti di audit
• Verifica della conformità tecnica

I fornitori devono quindi innalzare il proprio livello di compliance o rischiare di perdere l’accesso al mercato.

3. Verso partnership meno numerose ma più strategiche

Poiché gli operatori saranno più selettivi, i fornitori devono aspettarsi:

• Integrazioni più durature e strutturate
• Maggiori aspettative in termini di uptime e performance di gioco
• Richieste di strumenti avanzati di gioco responsabile
• Pressioni per modernizzare le infrastrutture tecnologiche legacy

Questa è un’opportunità per i fornitori di alta qualità — e una sfida per chi non saprà adattarsi.

La strada da seguire: un mercato per chi è preparato

Il nuovo regime delle licenze per il gioco online in Italia, in vigore da oggi, non è un semplice aggiornamento normativo.
Rappresenta una riprogettazione strutturale dell’ecosistema del gioco digitale italiano.

Operatori, nuovi entranti e fornitori devono rafforzare governance, tecnologia e compliance.
Chi agirà subito – migliorando i propri framework, rivedendo la catena dei fornitori e investendo sull’integrità della piattaforma – conquisterà un vantaggio competitivo duraturo per l’intero ciclo di nove anni.
Chi aspetterà, farà fatica a restare nel gioco.

Una domanda finale per i leader del settore

Ora che il nuovo regime è in vigore, la vera discussione inizia:
Quali operatori e fornitori sono pronti a soddisfare i nuovi standard italiani –  e quali resteranno indietro?

Autore: Giulio Coraggio

 

Legal Tech Bytes

Approfondimenti esperti sulle ultime tendenze e innovazioni- Il mandato del “lawyer-in-the-loop”: ciò che i team legali interni devono sapere sul cambiamento del mercato della legal tech

Una convergenza di sviluppi normativi, cambiamenti nelle policy dei provider e dati di mercato sta rendendo evidente una verità fondamentale sull’AI in ambito legale: la tecnologia deve essere progettata (e operare) per supportare, non sostituire, i professionisti abilitati. Per i team legali interni che valutano fornitori di legal tech, comprendere queste dinamiche è essenziale per effettuare investimenti tecnologici strategici che restino validi e conformi nel tempo.

Evoluzione delle policy sugli LLM: dai disclaimer ai guardrail architetturali

Uno dei più noti provider statunitensi di LLM ha recentemente aggiornato le proprie policy d’uso con una precisazione significativa: gli utenti non possono utilizzare i loro servizi per fornire consulenze personalizzate che richiedono una licenza professionale, come pareri legali o medici, senza il coinvolgimento appropriato di un professionista abilitato.

Questa policy ora si applica non solo all’interfaccia chat, ma anche ai contratti , il che significa che governa le integrazioni API, le implementazioni RAG (Retrieval  - Augmented Generation) e la tecnologia che alimenta molti servizi di AI utilizzati dalle aziende di legal tech. Il principio è chiaro: l’attività di consulenza legale, come quella medica, riguarda l’amministrazione della giustizia e la tutela dei diritti fondamentali. Si tratta di attività intrinsecamente critiche che non possono fare affidamento su processi completamente automatizzati.

Non si tratta di uno sviluppo isolato. La legislazione italiana sull’AI (Legge 132/2025, art. 13) affronta esplicitamente il tema, richiedendo che l’AI fornisca solo “attività strumentali e di supporto” con una “prevalenza dell’opera intellettuale dei professionisti abilitati”.

È probabile che anche altri importanti provider di LLM seguano la stessa direzione, guidati non solo da preoccupazioni legate alla responsabilità, ma da una crescente consapevolezza che le tecnologie strumentali richiedono adeguate salvaguardie quando vengono impiegate in ambiti che incidono sui diritti fondamentali.

Implicazioni per l’approvvigionamento tecnologico dei team legali interni

Dati recenti dell’indagine realizzata dall’Association of Corporate Counsel e Everlaw – basata su risposte di 657 professionisti legali di 30 Paesi – offrono indicazioni importanti sullo stato attuale di adozione dell’AI nel settore legale:

• Il 91% dei professionisti in ambito giuridico indica l’aumento dell’efficienza come principale beneficio della GenAI, a conferma del riconoscimento diffuso del valore della tecnologia come strumento di supporto.
• Il 58% dei legali in house afferma che i propri dipartimenti sono i principali promotori dell’adozione della GenAI, segnalando che le decisioni di procurement sono fortemente in mano ai team legali aziendali.
• Il 20% incoraggia già i propri studi esterni all’utilizzo della GenAI, percentuale in crescita con la maturazione dell’adozione.
• Il 20% ha già riscontrato tempi di risposta più efficienti nel lavoro legale grazie a workflow abilitati dalla tecnologia.
• Il 43% prevede un aumento dei modelli di billing basati sul valore, indicando un’evoluzione nel modo in cui i servizi legali vengono erogati e tariffati.

Considerate nel loro insieme, queste tendenze suggeriscono che la professione legale si sta avviando verso un’evoluzione significativa in ruoli e competenze. L’alta adozione dell’AI, combinata con requisiti sempre più rigorosi di supervisione professionale, non significa meno tecnologia, ma una più sofisticata integrazione tra tecnologia e giudizio professionale. I dipartimenti legali avranno sempre più bisogno di professionisti in grado di progettare, implementare e supervisionare questi sistemi ibridi: legal engineer, professionisti con competenze tecniche approfondite e avvocati che comprendano non solo il diritto, ma anche l’architettura degli strumenti che utilizzano.

Autore: Tommaso Ricci

 

Legal Design Tricks: Piccoli segreti per utilizzare il Legal Design nella tua quotidianità  

Trick #11: Gli strumenti giusti fanno la differenza!
Hai un’idea brillante e contenuti chiari… ma come li trasformi in documenti leggibili, visuali e coinvolgenti?

La scelta dello strumento giusto non è un dettaglio: può fare la differenza tra un documento confuso e uno che comunica davvero, guida l’utente e valorizza il tuo lavoro.

Con il tool giusto, puoi:
• Risparmiare tempo prezioso
• Collaborare in modo più efficace
• Creare prototipi chiari e facilmente testabili
• Trasformare concetti complessi in elementi comprensibili e visivi

Ricorda: nel Legal Design conta scegliere lo strumento giusto per il risultato che vuoi ottenere!

Se devi creare visual veloci, prova:

Canva
Pro: intuitivo, template già pronti, icone e colori integrati
Contro: poco flessibile per progetti complessi

PowerPoint / Keynote
Pro: ottimi per slide e mockup rapidi
Contro: layout statici, poca interazione e limitata collaborazione

Per prototipi e documenti interattivi, utilizza:

Figma
Pro: potente per layout e visual design, collaborazione live
Contro: curva di apprendimento più alta

Notion / Coda
Pro: ottimi per prototipi di documenti, checklist, flussi
Contro: meno grafici se non personalizzati

Adobe Express
Pro: visual curati, brand kit, export professionali
Contro: meno usato in ambito legale

Per mappe e processi, prova:

Lucidchart / Miro (flowchart)
Pro: ideali per processi interni, workflow, escalation
Contro: serve un minimo di setup iniziale

XMind / MindMeister
Pro: perfetti per mappare concetti, clausole, definizioni
Contro: meno efficaci per output finali

Excel
Pro: semplice da creare e ottimo per tabelle
Contro: limitato nella grafica e nelle interazioni

AI per il Legal Design

ChatGPT & Co.
Pro: supporto per testi chiari, esempi visuali, layout suggeriti
Contro: da rivedere sempre con occhio umano

Canva AI / Magic Design
Pro: crea bozze grafiche in pochi secondi
Contro: risultati da personalizzare

Gamma / Tome AI
Pro: generano slide e prototipi da un prompt
Contro: limite nei layout legali specifici

Come scegliere il tool giusto?

Scegli in base a:

• Tempo – ti serve qualcosa di pronto o da progettare?
• Output – slide, policy, contratto, prototipo?
• Pubblico – colleghi, clienti interni, utenti finali?
• Collaborazione – da soli o in team?
• Skill – serve qualcosa “plug & play”?

Ricorda: parti semplice, poi raffina lo strumento quando il progetto cresce!

Lo sapevi?

Strumenti come FigJam o Miro non servono solo per mappe e diagrammi: sono perfetti per brainstorming, post-it virtuali e user journey. Aiutano davvero a coinvolgere il team e a mettere le idee sul tavolo in modo visivo e condiviso!

Autrice: Deborah Paracchini

---

La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Noemi Canova, Giovanni Chieco, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Enila Elezi Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Giulio Napolitano, Andrea Pantaleo, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Giulia Zappaterra.

Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna, Matilde Losa e Arianna Porretti.

Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.

Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.

È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui, consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, e il nostro magazine mensile Diritto Intelligente interamente dedicato all'AI qui.

DLA Piper Italia Società Tra Avvocati S.r.l. (DLA Piper Italia S.T.A.) tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.